Hjem GDPR Ordbogen
Alt det der GDPR er noget af en jungle at finde rundt i. Derfor har jeg startet Ordbogen der fortæller dig hvad alle GDPR udtryk betyder. Det er ikke nemt at finde rundt i alle GDPR udtryk men bare rolig, i denne ordbog finder du alle betydningerne og synonymer for GDPR.
Du klikker bare på det bogstav der er det første i det GDPR ord du leder efter så kommer du ned til der hvor jeg forhåbentlig har en forklaring.
Almindelige personoplysninger:
Almindelige personoplysninger er meget lang nedenstående er bare nogle eksemplar:
Personoplysninger er enhver information om en identificeret eller identificerbar, fysisk person.
Dette gælder også, selvom identifikationen af personen kun kan ske ved kombination af flere oplysninger.
Personoplysninger inddeles i 3 kategorier:
Almindelige, fortrolige og følsomme personoplysninger se uddybning under ”Behandlingsgrundlag”
Adresse oplysning:
Behandling:
En behandling af personoplysninger er eksempelvis når man indsamler, registrerer, bruger, opbevarer, videregiver og sletter personlige oplysninger
Behandlingsgrundlag:
Behandling af personoplysninger må kun ske, hvis man har et lovligt behandlingsgrundlag, som f.eks.
Behandlingsgrundlag for behandlingen af almindelige, fortrolige og følsomme personoplysninger findes i GDPR, artikel 6, stk. 1.
Der er generelt et gyldigt behandlingsgrundlag, hvis mindst ét af følgende forhold gør sig gældende:
Hvis man behandler følsomme personoplysninger, skal man derudover identificere en undtagelse, f.eks.
Hvis man behandler personoplysninger i ansættelsesforhold, er der særlige regler. F.eks.
Brud på persondatasikkerheden:
Når personoplysninger bliver offentliggjort, delt med uvedkommende, videregivet eller på anden vis gjort tilgængelig for uvedkommende personer.
Cpr nummer:
CPR-nummer er i kategorien ”Fortrolige personoplysninger”
Hovedreglen er: Personnumre må ikke offentliggøres jf. databeskyttelseslovens § 11.
Fortrolige oplysninger er underlagt særlige krav, og sådanne oplysninger må eksempelvis kun sendes via e-mail, hvis der anvendes kryptering. Der findes forskellige selskaber, som sælger e-mail løsninger, så du kan sikre dig at dine e-mails er krypteret, når de afsendes.
Datatilsynet har forklaret hvornår du må behandle f.eks. CPR nummer.
Cookies:
Hvem er omfattet af cookiereglerne?
Alle danske hjemmesider er omfattet af cookiereglerne. Hvis du anvender cookies på din hjemmeside, skal du informere brugerne om dette samt indhente samtykke til at sætte samt anvende de cookies, du indsamler.
Der er dog enkelte undtagelser, som du kan se på Erhvervsstyrelsens hjemmeside
Jeg vil her kort ridse op hvordan du skal gøre for at sikre den lovmæssige overholdelse af cookies politikken, typisk er denne politik at finde nederst i footeren på hjemmesider
Hvis du tænker hvordan gør jeg det.? Så er du en helt almindelige hjemmeside ejer, min måde at gøre det på er følgende:
Du betaler for denne service med din e-mailadresse samt et samtykke til, at de må sende dig et tilbud på hvad det vil koste at blive kunde hos cookiebot (gratis, hvis du ikke har så mange undersider).
Cookiereglerne kræver, at brugerne bliver oplyst om cookies på en hjemmeside. Start derfor med at informere brugerne om, at der er cookies på hjemmesiden, og hvad formålet med dem er.
For at opfylde informationskravet skal informationen:
Skrives i et klart, præcist og letforståeligt sprog eller tilsvarende i letforståeligt billedsprog, fx piktogrammer,
Oplyse om formålet med at lagre eller få adgang til oplysninger i brugerens pc, tablet eller smartphone.
Her skal du huske at det skal være et aktivt samtykke, dvs. i den pop-up boks, hvor brugeren skal markere hvilke cookies du får lov til at indsamle, må det kun være ”Nødvendige” cookies, der er markeret, de øvrige cookies skal brugeren selv markere. Cookiebot har denne funktion med i deres standard opsætning, og gør det meget nemmere at være hjemmeside ejer. Du kan læse hele Erhvervsstyrelsens vejledning.
Databehandling:
Databehandling er kort fortalt alle handlinger, hvor personoplysninger indgår. Listen over handlinger, der anses som databehandling er nærmest uendelig.
Man må kun indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidigt med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af hvilke data, der er relevante for at opfylde formålet med indsamlingen.
Datasubjektet:
Datasubjektet er den person, som data henføres til, dvs. den person, som den enkelte virksomhed har indsamlet data om
Datasikkerhed:
Datasikkerhed er en generel betegnelse for alle foranstaltninger, du kan foretage for at vogte jeres data og jeres kunders personoplysninger.
Datatilsynet:
Offentlig tilsynsmyndighed, der fører tilsyn med overholdelse af GDPR.
Datatilsynet er den centrale uafhængige myndighed der fører tilsyn med, at Databeskyttelsesforordningen overholdes.
Datatilsynet består af et råd – Datarådet – og et sekretariat. Datarådet træffer afgørelse i konkrete sager af principiel karakter, mens sekretariatet varetager Datatilsynets daglige drift. Tilsynets sekretariat består af ca. 65 dygtige og dedikerede medarbejdere, der varetager Datatilsynets daglige drift. Du kan læse mere om Datatilsynet samt deres opgaver og afgørelser på dette Datatilsynet samt deres opgaver og afgørelser.
DPO:
Forkortelse for Data Protection Officer (på dansk databeskyttelsesrådgiver). En
DPO skal rådgive den dataansvarlige om de databeskyttelsesretlige regler og på bedste
vis understøtte god databeskyttelse hos den dataansvarlige.
EU Dataforordning:
I maj 2018 trådte den generelle forordning om databeskyttelse i kraft, og dermed fik alle virksomheder, som opererer i EU, et regelsæt, som de skal følge, uanset hvor i verden de er etableret.
Erhvervsstyrelsen:
Erhvervsstyrelsen informerer og vejleder om, hvordan man kan overholde loven og fører tilsyn med, at cookiereglerne bliver overholdt. Se under Cookies.
Fortegnelse:
Fortegnelse, Intern fortegnelse, Artikel 30. Dette er det dokument, som er det vigtigste i GDPR.
Datatilsynet skriver følgende: Databeskyttelsesforordningen stiller krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger. Kravet om at føre en fortegnelse skal ses som en forlængelse af databeskyttelsesforordningens øgede fokus på ansvarlighed (”accountability”)
Vejledningen til udformning fra Datatilsynet kan finder du her.
Fortrolige personoplysninger:
Er underlagt særlige krav, og sådanne oplysninger må eksempelvis kun sendes via e-mail, hvis der anvendes kryptering.
Hvad er fortrolige personoplysninger
Følsomme personoplysninger:
Følsomme personoplysninger er særligt personlige oplysninger, som nyder ekstra stærk beskyttelse i GDPR. Det kommer til udtryk i form af flere krav til, hvornår disse personoplysninger må behandles. Følsomme personoplysninger er bl.a.
• Biometriske oplysninger
• Fagforening
• Genetisk information
• Helbredsoplysninger
• Politisk overbevisning
• Race, etnicitet
• Religion/filosofisk overbevisning
• Seksuel orientering/seksuelle forhold
• Straffedomme og lovovertrædelser (særlige persondata)
GDPR:
Forkortelse for General Data Protection Regulation.
Hedder på dansk Databeskyttelsesforordningen og kaldes af nogen Persondataforordningen.
GPDR betyder:
GPDR kursus:
Informationssikkerhed:
En del af GDPR er også at sikre informationsflowet af de data, der udveksles mellem virksomheder samt privatpersoner. Her er informationssikkerheden et helt selvstændigt område og særdeles vigtigt, idet f.eks. skal personfølsomme oplysninger, der sendes via e-mail sendes krypteret.
Iværksætter:
En iværksætter skal også have styr på sin GDPR. Mange iværksættere har hverken råd til GDPR eller overblik over hvad de skal have styr på når vi snakker GDPR og derfor bliver det ofte noget de sætter helt til side. Men selv om du har en helt nystartet virksomhed så skal du også have styr på GDPR. Hvis din virksomhed er under 2 år gammel og du kun har dig selv og evt 1 ansat så vil jeg gerne hjælpe dig med at få styr på din GDPR uden du skal betale en formue for det. Tjek denne Iværksætter GDPR pakke
Konsekvensanalyser:
Det er et dokument og en analyse, der skal udarbejdes hvis en
behandling af personoplysninger sandsynligvis vil indebære en høj risiko for den
registrerede person.
Konsekvensanalysen skal beskrive og analysere de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
En konsekvensanalyse vedrørende databeskyttelse er en proces, der har til formål at beskrive behandlingen, vurdere dens nødvendighed og proportionalitet og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører ved at vurdere dem og fastlægge foranstaltninger til at afhjælpe dem. En konsekvensanalyse skal således ses i sammenhæng med risikovurderingerne (se nedenfor), da man som dataansvarlig alene har pligt til at foretage en konsekvensanalyse i de tilfælde, hvor der sandsynligvis er høj risiko for fysiske personers rettigheder og frihedsrettigheder, herunder beskyttelse af personoplysninger.
Log:
Du skal som virksomhed føre en log over de hændelser (mindre databrister), der sker i dagligdagen samt kunne dokumentere hvad du har gjort for at de ikke sker igen eller hvordan du har mitigeret risici på den opstående hændelse.
Mobilnummer oplysning:
MitId:
Fra midten af 2022 forventes det at alle er gået over til MitId. Det er afløseren for NemId. MitId er den nye og forbedret login løsning til de platforme der kræver forhøjet sikkerhed.
NemId:
Er den fælles digitale signatur der bruges på de fleste offentlige og financielle platforme når du skal logge ind. I 2022 bliver NemId udfaset og MitID kommer i stedet for.
Oplysningspligt:
Oplysningspligten betyder, at den dataansvarlige på eget initiativ har pligt til at give den registrerede en række oplysninger, når den dataansvarlige indsamler personoplysninger om vedkommende, herunder bl.a. oplysninger om identitet og kontaktoplysninger for den dataansvarlige og oplysninger om formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen. Typisk er denne side placeret nederst på en hjemmeside under navnet ”Personlivspolitik”. Se hvordan GDPR-regler.dk har gjort det
Opbevaringsbegrænsning:
Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne eller den i artikel 30 / Fortegnelsen beskrevne slette regel er nået.
Overførsler:
Her tænkes typisk på overførsler til 3. lande og specielt de 3. lande, som er usikre 3. lande, f.eks. USA og Indien. Hvis muligt skal du undlade at overføre data til usikre 3. lande, og hvis det ikke er muligt at undgå det, skal du som min. have udført en konsekvensanalyse (DPIA) samt have klarlagt samtlige risici og mitigerende handlinger for at minimere risici.
Emnet ændres og opdateres løbende på Datatilsynets hjemmeside, når der er ændringer. Læs den nyeste opdatering ved dataoverførsler.
Paragraf 17:
Persondata forordningen:
Persondata / personoplysninger:
Det samme som personoplysninger og omfatter enhver form for information om en identificeret eller identificerbar fysisk Person.
Personoplysninger inddeles i 3 kategorier:
Persondataloven:
Persondataloven trådte i kraft den 1. juli 2000. Datatilsynet er den offentlige myndighed, der fører tilsyn med, at persondataloven overholdes. Persondataloven er ikke længere gældende i Danmark. Datatilsynet henviser nu til lovgivning på Databeskyttelsesområdet.
Persondatasikkerhed:
Typisk anvendes ordet Persondatasikkerhed i forbindelse med at der er sket et brud på Persondatasikkerheden, dvs. der er sket en deling af persondata, f.eks. e-mails med CPR-numre til forkerte personer.
Når persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, kompromitteret, offentliggjort, videregivet eller på anden vis bliver tilgængeligt for uvedkommende. Det kan f.eks. være, hvis vi kommer til at sende breve til den forkerte borgers e-Boks, eller hvis vores it-systemer bliver hacket, så er du forpligtiget til indenfor 72 timer at anmelde bruddet til Datatilsynet, med mindre, det vurderes at bruddet medfører risiko for personers rettigheder eller frihedsrettigheder. Du kan læse mere om hvordan du rent praktisk skal gøre en anmeldelse hos Datatilsynet
Retten til at blive slettet / glemt:
Enhver registreret person kan få slettet sine personoplysninger, når de ikke længere er nødvendige til opfyldelse af det formål, de er indsamlet til, og når loven i øvrigt kræver det, f.eks. bogføringsloven eller du har trukket dit samtykke tilbage.
Enhver virksomhed har i deres ”Fortegnelse” beskrevet hvor lang tid de gemmer personoplysninger om f.eks. tidligere ansatte og har samtidig en pligt til løbende at slette de persondata, som de ikke har længere har behov for. F.eks. skal en tidligere medarbejderes telefonnummer fjernes fra vagtlisten, når medarbejderen ikke længere er tilknyttet vagtordningen, uanset om den ansatte fortsat er i virksomheden eller ej.
Risikovurdering:
Risikovurderingen er en obligatorisk del af ”Fortegnelsen” og skal kunne fremvises ved et besøg eller en forespørgsel fra Datatilsynet. Nedenstående tekst er kopieret fra Datatilsynets hjemmeside om risikovurderinger.
”Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler der bliver truffet for at beskytte disse rettigheder.”
Hvordan risikovurderingen skal udarbejdes, er der ingen krav om, men følgende indhold skal være dækket, jævnfør Datatilsynets hjemmeside:
Den person som personoplysningerne vedrører, f.eks. en borger, bruger eller medarbejder.
Registreredes rettigheder:
Der er nogle helt basale rettigheder, som enhver virksomhed skal leve op til i forbindelse med GDPR overfor privatpersoner.
De enkelte punkter er uddybet her i ordbogen under deres respektive afsnit.
Hvis en kunde ønsker at få overført sine data til en anden serviceudbyder, har de ret til det og det skal være i et almindeligt og læsbart format.
Samtykkeerklæring:
Sikker mail:
Bruges til at sende Mail der ikke skal læses af andre end modtageren. Sikker mail bruges til at sendes krypteret beskeder eller til signering så modtageren er sikker på at det er dig der er afsenderen.
Sletning:
Sletning er en handling, der sikrer, at personoplysninger ikke længere er tilgængelige.
Tredjeland samt overførsler:
Et tredjeland er et land uden for EU og EØS-samarbejde. Hvis persondata overføres til et tredjeland, gælder der særlige regler og grundlag for overførsel af data/ persondata oplysninger.
Baggrunden for disse regler skal findes i at sikre dine oplysninger, også når data flyttes udenfor EU samt de lande, som der er opnået en aftale med. De er derfor benævnt ”sikkert tredjeland”, f.eks. skulle Storbritannien efter Brexit godkendes som ”Sikkert tredjeland”, hvis ikke det var sket ville kravene være blevet ændret, så en handel med en virksomhed i London ville svare til at handle med en virksomhed i Indien.
Der er en liste over sikre tredjelande, som er med under samme grundlag/ hjemmel som de øvrige lande i EU. Derudover er der en oversigt, der hvilke forskellige grundlag, der kan anvendes for at overføre persondata til de usikre tredje lande, f.eks. USA. Oversigt finder du Datatilsynets oversigt
Den samlede vejledning fra Datatilsynet vedr. tredjelandsoverførsler.
Tilsynsmyndighed:
Tjek om hjemmeside er sikker:
Uafhængighed:
Virksomheds forpligtelser:
Ordbogen bliver opdateret hver uge med nye forklaringer. Sidste opdatering skete 27 august 2022.
